Forense caso 00a

De Eriberto Wiki
Revisão de 11h33min de 23 de setembro de 2011 por Eriberto (discussão | contribs)
Ir para navegação Ir para pesquisar

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00a - Análise avançada conduzida


Brasília, DF, 29 de março de 2011


Atualização em: 22 de setembro de 2011




Este caso consiste em um exercício conduzido com o objetivo de utilizar algumas técnicas avançadas de manipulação de filesystems. O cenário está em torno de um pendrive apreendido. Tal pendrive pertencia a um pedófilo, que mantinha fotos eróticas e textos especializados armazenados. O objetivo de manter textos especializados era aprender como atrair crianças na Internet e entender como a polícia poderia rastreá-lo. Este objetivo foi levantado em interrogatório após a sua prisão.

Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.

ALERTA: ESTE EXERCÍCIO CONTÉM FIGURAS E PALAVRAS ERÓTICAS.





Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando a imagem de pendrive (22 MB comprimidos, 980 MB descomprimidos) disponibilizada. Antes de tudo, leia o conteúdo da página http://bit.ly/tsk-commands.

O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a.

Responda as perguntas a seguir, utilizando as orientações impostas.

Perguntas básicas:

  1. Inicialmente, confira o hash do arquivo baixado.
  2. Qual é o esquema de particionamento do pendrive? (fdisk -lcu / mmls / file)
  3. Sem montar as partições existentes, descubra qual é o inode referente à figura pic_1.jpg, existente na primeira partição. (mmls + fls -ro + grep / fdisk -lcu + fls -ro + grep)
  4. Analisando os dados no inode levantado no item anterior, descubra o tamanho, o mactime e o primeiro setor do arquivo na imagem. (istat -o)
  5. Sem realizar montagens, faça um levantamento prévio do conteúdo da primeira partição, calculando o hash MD5 de cada arquivo. (sorter com -md5, -o e -d)
  6. Monte cada partição do pendrive, em modo read-only, e verifique os conteúdos. (mount com loop, ro e offset + find)
  7. Faça uma linha do tempo do conteúdo de cada partição existente. (fls -ro -m e mactime -z BRT)
  8. Procure, na superfície do disco, por uma mensagem, criada pelo pedófilo, contendo um número de telefone. (1ª técnica: strings + egrep -o + sort -u / 2ª técnica: mcview / ambos utilizando expressões regulares)
  9. Recupere o trecho exato que contém a mensagem citada no item anterior. ({strings -td / hexedit} + grep + {dd ou dcfldd, ambos com bs=1 + count + skip})
  10. Recupere as figuras apagadas no filesystem da primeira partição. (fls -rdFo + icat -o, podendo usar um loop for)
  11. Escolha uma das figuras recuperadas com êxito no item 9 e procure-a na imagem de disco, utilizando uma assinatura. A seguir, recupere-a com o comando dd ou dcfldd. (hexedit + {dd ou dcfldd} + calculadora)
  12. Corrija, se for o caso, o tamanho da figura recuperada no item anterior, utilizando o GIMP.
  13. Procure por figuras existentes na superfície do disco e que não pertençam aos filesystems existentes. (blkls -o + {foremost ou magicrescue})
  14. Como base no relatório do comando foremost (audit.txt), observando o offset, recupere qualquer figura utilizando o comando dd ou dcfldd.
  15. Tente obter dados EXIF das figuras existentes no primeiro filesystem. (metacam)
  16. Verifique dados extras interessantes que possam existir na figura crianças.jpg (no primeiro filesystem). (hexedit / strings)
  17. Verifique os dados referentes às propriedades dos arquivos .doc e .pdf existentes na segunda partição. (file / evince / okular)
  18. Relacione todas as URLs citadas na superfície do disco. (strings e egrep -o com expressões regulares e outros - dica: egrep -o http://[^" "]+)

Questões complementares:

  1. Crie um arquivo que contenha todos os blocos não alocados e os slack spaces existentes na primeira partição. (blkls -o)
  2. Explique quando devemos utilizar fls+icat ou foremost/magicrescue.